9:27
25/5/2018

Rozporządzenie Ogólne o Ochronie Danych Osobowych (tzw. RODO) będzie stosowane od dziś, już bez żadnego okresu przejściowego czy innej “taryfy ulgowej”. Wprowadza ono m.in. obowiązek szacowania ryzyka, informowania o wyciekach oraz surowe kary. W tym szczególnym dniu proponujemy wam przegląd wpadek w ochronie danych, o których kiedyś nie trzeba było nawet informować, a dziś przeraziłby niejednego administratora. Wycieki ujawniamy, bo choć niektóre z firm do dnia dzisiejszego nie poinformowały o nich swoich klientów, to naszym zdaniem, taka wiedza im się należy.

Ochrona danych osobowych działa nie od dziś

Zanim zaczniemy przegląd wpadek “przedRODOwych”, pozwolimy sobie na krótką refleksję. Coś takiego jak “ochrona danych osobowych” funkcjonuje w naszym kraju (już, a może dopiero?) od 1997 roku. Zasady ochrony danych ustalone jeszcze w ubiegłym wieku (choć później wielokrotnie doprecyzowane) ciągle stanowiły problem dla polskich firm i obywateli. To prawo było złożone i słabo zrozumiałe, a dodatkowo na rynku istniało swojego rodzaju przyzwolenie na brak przejrzystości i obchodzenie zasad.

Unijna reforma prawa ochrony danych, ta która wprowadziła RODO, rozpoczęła się już w roku 2013, a rozporządzenie przyjęto 27 kwietnia 2016. Tekst RODO chyba był dobrym kompromisem bo… nikt nie był z niego zadowolony. Firmy mówiły, że wymaga się od nich zbyt wiele. Obrońcy prywatności powtarzali, że język rozporządzenia mógł być “mocniejszy”.

RODO wprowadza wiele nowości istotnych z punktu widzenia współczesnych realiów, m.in.:

  • informowanie o wyciekach,
  • prawo do bycia zapomnianym,
  • surowsze kary,
  • rejestry czynności przetwarzania,
  • podejście oparte na szacowaniu ryzyka

Z tego powodu, specjalnie na dziś, przejrzeliśmy naszą redakcyjną szufladę i proponujemy wam wycieczkę po kilku ciekawych wyciekach danych osobowych, które w epoce przedRODO-wej mogły być nawet niezauważone.

Mazda i niedoszacowanie ryzyka

RODO wymaga od administratorów szacowania ryzyka. Z ciekawym przykładem niedoszacowania zetknęliśmy się jeszcze w roku 2016. Czytelnik o imieniu Łukasz poinformował nas, że dilerzy Mazdy przechowują informacje o klientach w specjalnych serwisach, do których dostęp był stosunkowo łatwy. Każdy diler miał adres e-mail tworzony według wzoru…

XXXXX.recepcja@mazda-dealer.pl

…gdzie XXXXX to pewien charakterystyczny dla dilera numer.

Co więcej, każdy diler mógł logować się do specjalnego panelu, którego adres miał postać XXXXX.mazda-dealer.pl/panel. Numer był taki sam jak w adresie kontaktowanym dla klientów. Loginem do tego panelu był jednak inny adres e-mail, ale również zawierający ten sam numer, a hasło miało zawsze postać MAZDAXXXXX. Każdy kto to wiedział (czyli w zasadzie pracownik dowolnego salonu logujący się do swojego panelu) mógł bez problemu zalogować się do panelu dowolnego innego salonu. Wystarczyło tylko ustalić numer salonu, ale ten był w adresach e-mail dostępnych publicznie (nawet na stronie Mazdy).

Po zalogowaniu się do panelu poszczególnych dilerów można było zobaczyć mnóstwo danych osobowych:

    imiona i nazwiska,
    numery telefonów,
    e-maile.
    numery VIN
    informacje o przeprowadzonych czynnościach lub o zgłoszeniach klientów.

Jeśli znamy dokładne dane kontaktowe i dodatkowo wiemy jakim autem ktoś jeździ i co w nim ostatnio naprawiał, można to wykorzystać do sprofilowanego ataku socjotechnicznego, ale to nie jedyny użytek, jaki da się zrobić z takich danych.

Skontaktowaliśmy się oczywiście z Mazdą i wkrótce dostaliśmy odpowiedź.

Bezzwłocznie po powzięciu informacji o możliwym naruszeniu ochrony danych osobowych klientów, administrator bezpieczeństwa informacji w Mazda Motor Logistics Europe sp. z o. o. oddział w Polsce uruchomił procedurę sprawdzenia doraźnego wewnętrznego systemu ochrony danych osobowych, zgodnie z treścią § 3. ust. 2 pkt 2 rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745).

Jeśli czytają nas klienci Mazdy, z chęcią usłyszymy, czy ktoś z Was otrzymał od swojego dealera informację, że do jego danych “nieautoryzowany” dostęp mogli mieć pracownicy innych salonów.

HP dała login i hasło

Paweł miał problem z laptopem HP. Naprawa nie mogła być wykonana na miejscu więc sprawa trafiła “drugiego poziomu wsparcia technicznego”. Paweł dostał maila z prośbą o uruchomienie programu do diagnozowania (ImageDiag) i przesłanie do firmy pliku o rozmiarze 150 MB. Plik miał być przesłany z użyciem usługi FTP pod adresem https://ftp.usa.hp.com/hprc/. Pracownica HP przesłała Pawłowi login i hasło.

Paweł bardzo się zdziwił gdy zobaczył do czego dostał dostęp.

Po zalogowaniu przez przesłane dane, mam dostęp do wszystkich “case-ów” i plików które wysłali. Jak wnioskuję po linku do ftp, jest to jeden z ich głównych serwerów plików. Mam dostęp do absolutnie wszystkich plików, mogę je pobierać, przeglądać a nawet kasować. Oprócz zwykłych logów, są tam też faktury za usługi, filmiki, które użytkownicy nagrali i wysłali oraz masa ciekawych informacji, których do końca nie mam czasu przeglądać.

Rzeczywiście. Na serwerze były pliki różnego rodzaju.

Te pliki można było swobodnie otwierać.

Trudno było skontaktować się w tej sprawie z HP, ale po dłuższych staraniach pani Ekaterina Trofimova z biura w Moskwie przesłała nam oświadczenie.

HP takes the privacy and security of our customers’ information very seriously and has strict policies in place to ensure that customer data is protected. This incident was not in line with our standard procedures and remediation measures have been initiated.

Jeśli wysyłaliście zgłoszenia serwisowe do HP w powyższy sposób, jesteśmy ciekawi, czy HP poinformowało Was o tym, że przesłane na ich serwery informacje i pliki były dostępne dla innych osób.

Hasło na umowie – MOiCO

Jeszcze jeden przykład niedoszacowania ryzyka. Czytelnik doniósł nam, że dostawca szybkiego internetu z Wrocławia – firma MOiCO – umieszcza hasła do konta abonenckiego na umowach. Co gorsza, haseł nie da się zmienić, a w tym portalu dla klientów są takie ich dane osobowe jak:

    adres,
    PESEL,
    numery telefonów.

Nasz Czytelnik kontaktował się w tej sprawie z operatorem, ale nic nie wskazywało na to, że operator zmieni praktyki.

RODO nie mówi dokładnie jakiego rodzaju zabezpieczenia powinny stosować podmioty przetwarzające dane. Rozporządzenie zobowiązuje jednak do szacowania ryzyka i stosowania adekwatnych środków. Hasło na umowie, którego nie można zmienić, to raczej zły pomysł.

11 maja spytaliśmy MOiCO, czy ta kwestia została wzięta pod uwagę przy szacowaniu ryzyka. Obiecano nam odpowiedź, którą dostaliśmy 5 dni później od Kierownika Sprzedaży i Obsługi Klienta Radka Lewandowskiego:

Zgodnie z Europejskim Rozporządzeniem o Ochronie Danych dostosowaliśmy nasz panel klienta do nowych zaleceń. Jesteśmy na etapie ostatnich testów systemu, który zostanie wdrożony już pod koniec przyszłego tygodnia. Chcemy żeby był on jak najlepszy i jak najwygodniejszy dla naszych użytkowników. Oprócz możliwości zmiany hasła, aktualizacja panelu uwzględnia zmianę danych osobowych, aktualizację zgód marketingowych oraz zresetowania hasła poprzez zarejestrowany adres e-mail.

Jeśli jesteście klientami tego ISP, dajcie znać, czy możecie już zmienić hasła. I zróbcie to, tak na wszelki wypadek.

Handlowiec z UPC przeszedł do Netii z bazą klientów

W epoce przedRODOwej stykaliśmy się również z historiami z cyklu “nie wiemy czy to nasi ludzie przetwarzają te dane“. Mama jednego z naszych Czytelników była od dawna klientką UPC. Dlatego bardzo się zdziwiła, gdy dostała telefon z propozycją lepszej oferty od …Netii.

Pani z firmy Netia wiedziała że wie że moja Mama ma umowę z firmą UPC i chciała proponować nowe oferty podobno lepsze. Na pytanie skąd ma numer i takie dane Pani odpowiedziała wprost i bez żadnego skrępowania: “grupa handlowa przeszła z UPC do Netia i jeden kolega przyniósł dane klientów”. Jako że trochę mojej Mamie w życiu tłumaczyłem jak postępować w takich sytuacjach, poprosiła ona o potwierdzenie oraz stwierdziła że jest to kradzież danych osobowych. Pani bezstresowo potwierdziła że nie ma w tym nic złego.

Kontakt nastąpił z numeru 791427768.

Spytaliśmy o tę sprawę zarówno Netię jak i UPC. Karol Wieczorek z Netii odpowiedział, że Netia nie korzysta z żadnych wewnętrznych baz, a jej handlowcy mają obowiązek korzystania z określonej puli numerów do wykonywania połączeń.

Numer telefonu, który Pan podał z pewnością nie należy do nas, ani żadnego z naszych partnerów telesprzedażowych. Handlowcy D2D, którzy dla nas pracują mają obowiązek posługiwania się kartami SIM z numerami z naszej puli numeracyjnej Netia Mobile, a ten numer do tej puli nie należy.

Z informacji dostępnych w serwisach takich jak nieznanynumer.pl wynika, że numer 791427768 był używany do sprzedawania umów UPC, Vectry i Netii. Najcześciej kojarzono go z UPC. Może więc nieuczciwy handlowiec chciał najpierw zdobyć klienta korzystając z numeru spoza puli Netii, by potem sfinalizować umowę w inny sposób?

Pania Natalia Szulc z UPC przesłała nam w tej sprawie takie krótkie oświadczenie.

Bezpieczeństwo danych naszych klientów jest dla nas priorytetem. Nie przekazujemy żadnych danych dotyczących klientów firmie Netia czy innym operatorom i nie mamy podpisanych w tym zakresie żadnych umów pełnomocnictwa

Pani Szulc dodała, że zachęciłaby klientkę do zgłoszenia zaistniałej sytuacji poprzez kanały kontaktu dla klientów UPC. Niestety Pani Natlia nie chciała nam odpowiedzieć na jedno kluczowe pytanie. Czy handlowcy UPC kiedykolwiek korzystali z numeru 791427768? To pytanie powtórzyliśmy dwa razy, ale nie dostaliśmy odpowiedzi. Ale może nasi najlepsi agenci (mowa o Was, Drodzy Czytelnicy pracujący w UPC ;) mają jakąś wiedzę na ten temat?

Na koniec tej historii, przypomnijmy, że swojego czasu T-Mobile wykrył przekręt polegający na wykradaniu danych osobowych telekomów. Skończyło się zatrzymaniami i poważnym śledztwem.

PKP ujawniło dane wszystkich pasażerów pociągu jednemu z nich

Niemal regularnie dostajemy zgłoszenia wpadek polegających na tym, że dane klientów “zaplątały się” się w dokumenty przekazywane np. w odpowiedzi na reklamację albo inne pismo. To się zdarza różnym firmom, niekoniecznie małym.

Jeden z naszych Czytelników złożył reklamację do PKP Intercity i długo czekał na odpowiedź. Gdy przewoźnik długo nie odpowiadał, nasz Czytelnik postanowił się przypomnieć. Przesłano mu historię korespondencji w jego sprawie, wraz z… wykazem informacji o innych pasażerach jadących jego pociągiem. Chodziło o osoby mające bilety imienne!

W sumie były tego 2,5 strony.

PKP Intercity przyznało, że poprawiało swój sposób obsługi reklamacji. Zapewniono nas, że tego typu przypadki nie będą już miały miejsca.

T-Mobile/Alior podesłał wzór oświadczenia z danymi innego klienta

Inny pechowy przypadek przypadkowego ujawnienia danych klientów dotyczy usług bankowych T-Mobile. Pracownik Alior Banku (czyli banku faktycznie dostarczającego usługi pod marką T-Mobile cośtam, cośtam) poprosił naszą Czytelniczkę o zaświadczenie o zarobkach. Czytelniczka nie wiedziała jak to zaświadczenie ma wyglądać więc poprosiła o przesłanie wzoru zaświadczenia mailem. Pracownik spełnił prośbę i przesłał plik “zaświadczenie o dochodach.pdf“, który niestety zawierał dane innej osoby.

Rzecznik Aliora przyznał, że był to “jednostkowy błąd ludzki”. Wierzymy w to, ale tego typu wpadki są naprawdę częste w różnych firmach i instytucjach. T-mobile/Alior to tylko przykład na to, że zdarza się to nawet  dużym firmom z sektorów, w których ochrona danych ma kluczowe znaczenie i w których naprawdę kładzie się nacisk na bezpieczeństwo. Ot czynnik ludzki jest czasem nie do opanowania, pomimo szkoleń i procedur.

Innym przykładem dużej firmy dbającej o bezpieczeństwo, z której w podobny sposób wyciekły dane jest Orange, a dokładnie jego marka nju. Tam dane klientów przekazano większej liczbie osób, bo zostały one opublikowane na stronie internetowej.

Spodziewamy się, że nawet po “wejściu RODO” takie przypadki będą się zdarzały. Dlatego na wszelki wypadek sprawdźcie swoje szablony dokumentów, jakie wysyłacie klientom.
 

DHL ujawnia adresy klientów numerek po numerku

Czasami pewne rzeczy się dzieją, choć ewidenetnie nie powinny. Jeden z naszych zamawiał klocki Lego w sklepie producenta. Chciał śledzić swoją przesyłkę, a sklep odesłał go na stronę dm.mytracking.net. Na tej stronie nasz Czytelnik znalazł nie tylko informację o statusie swojej przesyłki, ale także swój adres. Wkrótce przekonał się, że zmieniając ID w numerze strony może przeglądać informację dotyczące innych paczek – wraz z adresem doręczenia.

29 marca zgłosiliśmy sprawę firmie DHL. Obiecano nam odpowiedź i zapowiedziano wyjaśnienie sytuacji, jednak dopiero 11 maja dostaliśmy potwierdzenie, że błąd został usunięty. Rzecznik prasowy DHL Magdalena Bugajło wyjaśniła nam, że strona dm.mytracking.net nie jest oficjalną stroną firmy DHL Parcel Polska ani Grupy Deutsche Post DHL. Jest to serwis stworzony poprzez zewnętrznego dostawcę usług na zlecenie DPDHL dla Klienta LEGO.

Jest nam bardzo przykro, że taki błąd miał miejsce. Natychmiast poprosiliśmy dostawcę usługi o usunięcie wszelkich danach osobowych ze strony. Obecnie w serwisie można wyszukać tylko dane dotyczące samej przesyłki.

Od teraz nie będzie ryzyka, że inni miłośnicy klocków LEGO zaczną się w nocy dobijać do Waszych drzwi, bo też macie ten komplet klocków, a im brakuje jednej części, którą chcieliby pożyczyć ;)

Play od lat ma ten sam problem

W czerwcu 2017 r. pisaliśmy że użytkownicy Play24 mogą widzieć swoje “stare” numery na swoich kontach, dostając w ten sposób dostęp do danych aktualnych użytkowników tych numerów. W marcu 2018 pisaliśmy, że problem może ciągle istnieć. Czy udało się go załatać przed wejściem w życie RODO? Chyba nie…

Najnowszy sygnał o ciągłym istnieniu błędu dostaliśmy 11 maja! Nasz Czytelnik zauważył na koncie nieswoje numery i przekonał się, że ma dostęp do konta kobiety z Warszawy, z możliwością zmiany numeru i maila do kontaktu.

Jeśli korzystacie z usług Play to ciągle zachęcamy, byście zajrzeli na swoje konta online i sprawdzili co tam można znaleźć. Niestety nie znamy sposobu by zapobiec wyciekowi własnych danych z systemów tego operatora, albo przynajmniej dowiedzieć się, że taki wyciek miał miejsce.

Axa i mBank: pracownikowi się przypadkiem zaznaczyła zgoda na spam

W roku 2016 pisaliśmy o tym, że osoby korzystające z kalkulatora ubezpieczeniowego AXA mogą nieoczekiwanie dostać telefon z mBanku, gdyż obie instytucje błyskawicznie wymieniają się danymi. Korzystasz z kalkulatora Axa i jesteś klientem mBanku? Axa informuje mBank i mBank dzwoni jako agent Axa z ofertą.

Wielu klientów mogło nawet nie zauważyć, że zgoda na wymianę informacji między firmami została udzielona przy podpisywaniu umowy. Znamy jednak przypadek osoby, która zgody z pewnością nie udzieliła, a później i tak dostała telefon z mBanku. Ten Czytelnik zaczął drążyć sprawę. Złożył skargę do GIODO i reklamacje.

Z odpowiedzi na reklamacje wynikało, że w istocie pewien pracownik odznaczył zgodę niezgodnie z wolą klienta.

Pomyłki się zdarzają, ale nasz Czytelnik nie miał całkiem łatwo jeśli chodzi o sprostowanie stanu swoich zgód. Zażądał usunięcia swoich danych już w momencie, gdy zadzwonił do niego sprzedawca z mBanku (a tak naprawdę to nie z mBanku, tylko z wynajętej przez bank firmy Mellon Poland, która również dostała dane). Telemarketer stwierdził, że nie może cofnąć zgody. Nasz Czytelnik zadzwonił więc na mLinię, gdzie trzeba było długo czekać słuchając uroczej melodyjki.

Centralny Rejestr Operatorów, każdy jest kolejnym numerem w systemie

Na koniec zostawiliśmy przypadek dotyczący sektora publicznego. Istnieje coś takiego jak Centralny Rejestr Operatorów (CRO) i nie ma nic wspólnego z telekomunikacją. Jest to rejestr prowadzony przez Instytut Chemii Przemysłowej (ICHP), który obejmuje operatorów urządzeń zawierających 3 kg lub więcej substancji kontrolowanych lub 5 ton ekwiwalentu CO2 (CO2 eq) fluorowanych gazów cieplarnianych. Jesteście jeszcze z nami? Upraszczając, chodzi o urządzenia będące systemami ochrony przeciwpożarowej lub inne np. chłodnicze. Rejestr został utworzony na mocy Ustawy o substancjach zubożających warstwę ozonową oraz o niektórych fluorowanych gazach cieplarnianych.

Założymy się, że większość z was nie wiedziała ani o tej ustawie, ani o tym rejestrze, a już na pewno o ICHP. To wszystko naprawdę istnieje, a we wspomnianym rejestrze nasz Czytelnik znalazł dziurę. Zauważył, że po zalogowaniu się do systemu można pobierać karty dowolnych urządzeń wpisując w przeglądarkę adres w formacie

https://dbcro.ichp.pl/devices/[nrkarty]/pdf

Na kartach znajdują się imiona i nazwiska administratorów, a także inne dane. Nasz Czytelnik uznał, że prawdopodobne wydaje się zbudowanie bazy potencjalnych klientów przez firmy serwisujące urządzenia klimatyzacyjne, ewentualnie wykorzystanie danych do telemarketingu. W rejestrze znajdowało się ok 290 tys. kart urządzeń. Czytelnik zauważył też, że istnieje zabezpieczenie przed masowym pobieraniem kart, ale tylko w formacie JSON — generator PDF-ów najwyraźniej nie miał ustawionego rate-limitu.

Nie trzeba być “operatorem urządzeń” aby mieć kontro w CRO. Może je założyć każdy. Zrobiliśmy to i eksperymentalnie pobraliśmy kilka kart:

Problem został załatany krótko po tym jak go zgłosiliśmy. Brawo.

Klasyka gatunku – brak BCC

Każdy może zrobić wyciek, a wystarczy do tego mail i brak BCC. Oto jeden z ostatnich przykładów. Firma Blackbeard organizująca festiwal rumów rozesłała do ponad 450 osób informacje o tym wydarzeniu. Niestety nadawca zapomniał o BCC i wszyscy dostali dane wszystkich.

Takie rzeczy nawet w epoce przedRODOwej mogły się skończyć karami finansowymi i wyrokami sądów!. Pamiętajmy, że adres e-mail może być daną osobową jeśli zawiera imię i nazwisko, a już szczególnie gdy zawIera nazwisko i nazwę firmy, w której pracujemy (taki adres jednoznacznie identyfikuje osobę).

W przypadku korespondencji od firmy Blackbeard niepokojące było coś jeszcze. Odbiorcy listów zaczęli rozsyłać między sobą wiadomości z pytaniami o to, skąd organizator festiwalu rumów miał ich adres. Zadaliśmy to pytanie firmie Blackbeard, ale wciaż czekamy na odpowiedzi.

Niewiarygodna klasyka gatunku. Maile o RODO bez BCC

Co szczególnie zabawne, braki BCC zdarzały się również w korespondencji dotyczącej wprowadzania RODO! Oto przykład takiej korespondencji z firmy ENEA Operator, która informując o RODO, wysłała wiele e-maili, a każdy do 1500 klientów tak, aby widzieli oni swoje dane:

Czy ENEA Operator pójdzie za wzorem innych firm, które popełniając taki błąd rekompensowały go zakupem książek do bibliotek?

Inne firmy, które także informując o RODO nie ukryły e-maili odbiorców, albo dodały ich do mailing listy, na którą odpowiedzieć mógł każdy (i widzieli to inni) to:

  • Mad Biuro z Poznania:
  • Polskie Wydawnictwa Muzyczne
  • Morski Instytut Rybacki

Takich firm zapewne jest więcej — jeśli o jakiejś wiecie, forwardnijcie nam e-maila na redakcja@niebezpiecznik.pl

Sporo tego było…

To były tylko wybrane przypadki z wielu jakich znamy. Jeśli lubicie takie rzeczy, koniecznie zajrzyjcie do naszych tekstów o wpadkach bezpieczeństwa na uczelniach wyższych (część I, część II, część III i część IV). W przygotowaniu mamy też teksty o wpadkach dotyczących danych zdrowotnych.
 
Niestety, dość pesymistycznie patrzymy na hipotezę, że wprowadzenie RODO ukróci tego typu wpadki. Bardzo jednak jesteśmy ciekawi, jak ukarane zostaną firmy, którym w najbliższych dniach przydarzą się takie incydenty jak te opisane w tym artykule…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

67 komentarzy

Dodaj komentarz
  1. “Tip #rodo na siłownie za friko:
    Jeśli dany obiekt ma ofertę, że pierwsze wejście za darmo, korzystacie z niego, a następnie korzystacie z prawa do zapomnienia,
    Następnego dnia to samo (╭☞σ ͜ʖσ)╭☞” – z internetu :D

    • A potem promocje znikną :)

    • Darmowy netflix?

    • „Prawo do zapomnienia” nie oznacza obowiązku kompletnego wykasowania danych. Można zostawić „w bazie” dane, który zapobiegną ponownej rejestracji tej samej osoby.

    • możesz zachować hash pesela lub adresu email

    • Dodatkowo w niektórych miejscach, które przetwarzają dane na innej niż UODO podstawie prawnej (ot chociażby rozporządzenie w sprawie prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji) niektóre dane zostają zawsze przez pewien czas unormowany innym rozporządzeniem (dokładnie: w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej), bo mają taką a nie inną kategorię archiwistyczną ;)

  2. “Ot czynnik ludzki jest czasem nie do opanowania, pomimo szkoleń i procedur. ”

    Nie nie nie…. Czynnik ludzki pojawia się bardzo często z powodu szkoleń i procedur. Niemal wszyscy objęci procedurami mówią wprost że ich przestrzeganie paraliżuje pacę więc je się omija. Wszystkie systemy mające kontrolować nakładają na pracę taki domiar czynności i ich skomplikowania że jak trzeba coś szybko t system się nie sprawdza. I wtedy zaczynają takie kwiatki wychodzić że coś leci poza systemem.
    W wielu wypadkach to właśnie systemy i zbyt zawiłe procedury są winne wyciekowi danych. Troszkę jak z zmienianiem hasła co tydzień…. I nagle wszyscy zaczynają mieć słabe hasła i to jeszcze zapisane na monitorze a bezpieczeństwo leci na łeb.

  3. Jestem klientem moico, dalej nie ma możliwości zmiany hasła.

  4. Mam prawo do bycia zapomnianym. Proszę o skasowanie moich danych z bazy PESEL i CEPiK.

    • Rządów to nie dotyczy, tylko podmioty gospodarcze ;)

    • Łukasz032: Rządów też dotyczy, ale jeśli istnieją przesłanki prawne do pozostawienia danych w jakimś celu, to żądanie ich usunięcia będzie nieskuteczne

  5. Mnie ostatnio technik UPC zaznaczył na protokole podpięcia usługi zgody marketingowe, ale dopiero gdy ode mnie wyszedł z podpisanym dokumentem.

  6. Mam pytanie idą wybory w moim lokalu zawsze lista leży pełna peseli adresów … czy to też nie jest wyciek ? skoro widzę oprócz adresu sąsiada jego pesel?

    • Oczywiście

  7. Bezkonkurencyjny jest ogólnodostępny wykaz ksiąg wieczystych. To dopiero lektura !!!
    A w połączeniu z mapami katastralnymi ukazującymi numery działek z geoportal.gov.pl
    możemy z łatwością i to za free uzyskać dane naprawdę wrażliwe łącznie z adresami właścicieli, obciążeniami kredytowymi itd.itp.
    Czyli „RODO pod wodą”

    • Dodajmy, że gminne e-mapy potrafią być bardziej szczegółowe niż geoportal :)

    • Wałkowałem ten temat w dniu, w którym EKW stały się ogólnodostępne. Prawnik mi powiedział, że wszystko jest OK bo ustawa o swobodzie w obrocie gospodarczym (czy jakaś taka – już dokładnie nie pomnę) wyłącza w przypadku ksiąg wieczystych stosowalność ustawy o ochronie danych osobOwych. Czyli: tak ma być.
      Wtedy nawiasem mówiąc formularz na EKW sam podpowiadał właściwą cyfrę kontrolną i nie było żadnej captchy.

    • Jak chcesz rozkodować numer księgi wieczystej po terycie?

    • Zgadza się.
      Jak kupowałem mieszkanie i sprzedający dał mi numer księgi do lokalu, bo chciałem sprawdzić obciążenia hipoteczne to wyrwało mnie z butów. Jak po wpisaniu numeru bez absolutnie żadnej autoryzacji dostałem dostęp do pełnej bazy informacji o kobiecie, od której kupowałem mieszkanie. Imię, Nazwisko, adres, PESEL, opis mieszkania, informacje o kredytach w tym: numer umowy kredytowej, z jakim bankiem, na jaką kwotę, na jaki rachunek, na jaki czas.
      Chwila patrzenia na numer księgi i prosta konstatacja. Początek numeru jest oznaczeniem Sądu Wieczystoksięgowego z danego miasta, który księgę zakładał. Reszta wygląda albo narastająco albo losowo. Nie potrzebowałem więcej niż trzech prób, żeby dostać pełne informacje o innej osobie z innej księgi z mojego miasta

    • @Konan Katoda – boję się zapytać, a nuż jeszcze nie wiesz, więc czytaj dalej tylko zrelaksowany…. Jak zareagowałeś dowiadując się, że święty Mikołaj nie istnieje?

    • W stanach jest publiczna wyszukiwarka informacji o nieruchomościach. Można szukać po różnych danych, ale generalnie z mapy się wybiera działkę, i widać kto jest właścicielem, kto jest kredytodawca, jaka była wartość zakupu i bieżącą estymata wartości i inne.

    • O tak, też ostatnio przeżyłem ten szok. Dla mnie jest to przerażające, że kupując mieszkanie dostałem dostęp do informacji na temat wszystkich mieszkańców osiedla, którzy kupili mieszkanie w tej inwestycji. W takich sytuacjach zastanawiam się po co w ogóle jest UODO skoro obywatele, którzy kupują mieszkania i płacą podatki w kraju nie mogą liczyć na żadną ochronę -.-

  8. O Gearbescie nie napisałeś ;)

  9. Moje dane znajdują się w systemie Mazdy i żadnego maila odn. potencjalnego nieautoryzowanego dostępu nie dostałem. Mam nadzieję, że dostęp mieli tylko inni pracownicy Mazdy, a nie cały świat.

  10. Ech… Od wczorajszego wieczora następuje fala e-mailiggu na temat RODO na skrzynkę poczty, włącznie ze Spamem który najpierw udaje powiadomienie o prawach a na dole reklama.

    PZU ma nowe formularze deklaracji przystąpienia do ubezpieczenia. Na starych na odwrocie były osobne kwadraciki dla opcji TAK/NIE jak chodzi o przetwarzanie danych itd., na nowych jest jeden i jak się nie zgadzasz to w jednym miejscu należy zakreślić, a w innych pozostawić puste. Tym sposobem można pozakreślać jak już Klient złoży pisemko, bo kopii się nie wydaje.

    Inteligo: od wczoraj wisi na serwisie informacyjnym okienko powitalne, które ma tylko przycisk “Zgadzam się” i nie ma innej opcji zamknięcia go. Dodatkowo w treści jest sekcja “Wycofanie zgody…” po rozwinięciu której można się dowiedziec, iż jeżeli się nie zgadzasz to masz… usuwać sobie sam ciasteczka po każdej wizycie na stronie banku. No Miszczowie normalnie ;-D

    • Co do Inteligo – ja specjalnie nie kliknąłem ‘zgody’ a jedynie przeklikiwalem co się dało jakoś w tle pod formularzem.
      System najpierw wylogował, następnie puścił bez pokazania ponownego formularza.

      Nowa sesja znowu pokazała formularz, procedura się powtórzyła, zgody nie wyraziłem i z konta mogłem korzystać.

      Natomiast co ciekawe formularz przestał wracać całkowicie mimo braku kliknięcia zgody. Konto w pełni funkcjonalne.

  11. Czy klienci ING oraz Banku Zachodniego BZWBK otrzymali informację o zmianie regulaminu RODO ?

    • Ja dostałem powiadomienie z banku ING, ale co ciekawe nie przyszło ono mailem tylko było w panelu powiadomień w aplikacji. Nie jest to rozwiązanie idealne, no ale informacja została dostarczona na czas.

    • Dodam jeszcze, że powiadomienie dostałem już miesiąc temu, więc nie czekali do ostatniej chwili.

  12. “Niewiarygodna klasyka gatunku. Maile o RODO bez BCC” już dostałem kilka takich maili, kontaktowałem się osobiście z nadawcami i przedstawiłem czym jest BCC i podziękowali.

  13. A moich danych w Maździe nie chcieli. Auto mam za stare…

  14. Czy dobrze rozumiem, że teraz lepiej mieć maila “spersonalizowanego”, dla lepszej “ochrony”? W końcu można mnie po nim zidentyfikować, jeśli oczywiście jestem “unikalny”. Czy taki mail powinien być traktowany /przetwarzany z większą uwagą?

  15. Za bardzo się wszyscy podniecają danymi osobowymi. Nie stanowią one wielkiej wartości.

  16. “Koko koko RODO spoko
    dane lecą hen wysoko
    wszyscy razem wnet klikajmy
    wszystkim wszystkie zgody dajmy”

    • YMMD

  17. Ja nie wiem czy Wy zwróciliście uwagę na Play Online (a przecież nawet dajecie screen), że ta strona tak naprawdę CO LOGOWANIE pyta czy dane są aktualne i czy zmienić adres email. Jestem prawie pewien, że albo nie chcą i nie proszą o bzdurne kody sms i łatwo można stracić konto, a nawet jeśli proszą to taki kod przychodzi zwykle nie na telefon, a na modem. Więc jak jestesmy na czyimś komputerze (z włamaniem może być trudniej) to możemy mu bez problemu zmienić dane.

  18. Dzisiaj travelist.pl rozsyła informację do klientów z bazy, którą prawdopodobnie kupili. Istotna tam jest wzmianka, w której piszą skąd posiadają dane. Napisali, że albo zarejestrowałem się i zaakceptowałem regulamin, czego nigdy nie robiłem, bo tam się nie zapisywałem i…. teraz najlepsze …. “zostałem zaproszony przez przyjaciela”. Czy ten przyjaciel miał na imię spam? Przyjaciel nie miał uprawnień do posługiwania się moimi danymi więc ten zapis jest bijącym w oczy nadużyciem. WP po RODO, też jest niesamowita. Jeśli wejdziemy na jakąkolwiek stronę wp, to już na dzień dobry uruchomione są trackery. WP dzisiaj opublikowała listę swoich partnerów, a lista jest niemała. Jeśli wiec wejdziemy na dowolną podstronę WP to jestśmy śledzenie bez udzielonej zgody, a wejście na strony partnerów jest równe z tym, że wp przedstawia im już co robiłem na ich stronie.

    • Dokładna formułka brzmi tak “ponieważ jesteś zarejestrowany jako Użytkownik i zaakceptowałeś Regulamin lub jeden z Twoich przyjaciół zaprosił Cię do przyłączenia się do Travelist”

  19. Podobnie
    Szok i niedowierzanie ;)

  20. Wszystkie, firmy, punkty obsługowe, sklepy czy jak określić to jednym stwierdzeniem robią w uja z naszymi danymi.

    W Play wszystkie nasze dane trzymane są bezpośrednio na dysku komputera w salonie gdzie często i gęsto sam system jest nielegalny.

    Zdjęcia dowodów osobistych tył przód trzymane są również w folderze.
    W exelu robiona jest pseudo baza danych klientów którzy się pojawili podpisali umowę – bo do nich się oddzwoni za rok.

    I to szpileczka w stogu siana :o

  21. Pewien portal zamieścił na stronie informacje o zmianie przepisów. Bez akceptacji nie da się używać strony. Czy to nie jest w sprzeczności z rodo?

    • Dlaczego miałoby być? To przedsiębiorca ustala, na jakich zasadach świadczy usługi. Ma tylko obowiązek poinformować i uzyskać zgodę na to co robi. Jeżeli warunki przetwarzania danych nie odpowiadają, można przecież iść do konkurencji, która ma inne ;)

  22. W MOICO hasła dalej zmienić nie można ;-) Sprawdzałem kilka minut temu :D

  23. Wczoraj, aby wziąć kredyt odnawialny w Mbank wszystkie zgody marketingowe musiały być zaznaczone obligatoryjnie, a dziś 25 maja już nie :) RODO zaczęło działać.

  24. Trzy pytania:
    1. Czy jest w tym kraju jakakolwiek osoba, której dane nie były przetwarzane przez instytucję zwaną Pocztą Polską?
    2. Czy ktokolwiek otrzymał od tej instytucji informację o przetwarzaniu danych (obowiązek informacyjny)? Z Inpostu dziś taka nadeszła.
    3. Co się stanie gdy zechcę skorzystać z prawa do bycia zapomnianym przez Pocztę Polską? :D

  25. Ja nawet nie muszę wykradać.

    Dostałem kiedyś maila od citibanku, że się staram o kredyt. Ale się nie starałem. Mail żaden “Andrzej@gmail.com” tylko bardziej charakterystyczny, nawet dziwny jak na podawanie do banku.

    Adres nadawcy legitny, klikam w pdf a tam wszelkie dane łącznie z PESELem, zarobkami, adresem, wszystkim.

    Odpisałem na maila do BOKu to mnie olali. Po chyba kilku tygodniach napisałem na fejsie ale też mnie początkowo olali. Po jakimś czasie odezwała się Pani od PR. Poprosiła o szczegóły i obiecała naprostować.

    I tyle naprostowała, że chyba nic. Cały czas dostaję info od ich kolegów
    ANDRZEJ sprawdź nowe promocje
    ANDRZEJ nowa oferta dla Ciebie
    NAWET ANDRZEJ INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH.

    Nawet nie jestem Andrzej, nawet nie mam tam konta.

    • A może masz, takie z kredytem, a o tym nie wiesz ;-]

  26. Brak BBC to klasyk. Wczoraj dostałem maila od jednego z kontrahentów z taką pomyłką. Cóż… kto nie robi błędów, ten nic nie robi.

    • Bo nadal Thunderbird nie ostrzega o dodaniu do CC + To więcej niż 5 osób i nie daje prostej czytelnej instrukcji jak postępować z mailem. Owszem – zezswolić na wysłanie powinien ale po wyświetleniu 2 komunikatów i uświadomieniu użytkownika jaki będzie skutek.

      Na tak częsty błąd ludzki oprogramowanie powinno być wyczulone.

    • Oprogramowanie zakłada, że jego użytkownik wie co robi. Ciężko je za to winić i nawet się nie powinno.

    • @Lukasz032: taa, a o braku tematu jakoś przypomina a o BCC nie może.

    • Bo brak tematu e-maila według RFC jest błędem, więc klient poczty mieniący się jako RFC-compliant będzie się rzucał. RFC nie specyfikuje natomiast, ile maksymalnie adresów może być w polach do/dw/udw – ba, tak naprawdę dla serwera nie liczy się ani trochę, czy odpowiednie nagłówki dla tych pól zostaną w ogóle wypełnione, równie dobrze może ich całkowicie nie być – serwer interesują tylko komendy RCPT TO przed właściwą treścią e-maila, których jest dokładnie tyle, ile łącznie wszystkich prawidłowych adresów e-mail w tych polach – i serwer nadawczy “ogarniając” wiadomość podokleja co trzeba, podzieli na poszczególne MX-y odbiorcze i wyśle każdemu serwerowi tylko to, co z jego domeną miało coś wspólnego. Po prostu pole “temat” jest tak naprawdę tylko wymaganym nagłówkiem treści, pola do/dw mogą generować taki nagłówek (ale nie muszą, a UDW wręcz nie może) ale tak naprawdę są instrukcjami kontrolnymi.

  27. “Niestety nie znamy sposobu by zapobiec wyciekowi WŁASNYCH danych z systemów tego operatora, albo przynajmniej dowiedzieć się, że taki wyciek miał miejsce.” – nie znacie Really? A pan żul, 20zł na wino i wysłanie by kupił prepaida i go zarejestrował + powiedzenie mu, że jak zrobi to dobrze, dostanie kolejnych 5?

    Poza tym są osoby świadczące tą usługę, ale proponuję korzystać z osób z tego samego miasta.

  28. Nie znacie sposobu na ochronę danych u operatora – dowolnego? A pan żool, wysłanie go po zarejestrowany starter i obietnica kolejnych 5 tego typu usług – najprawdopodobniej zrealizowana – dla rodziny? Przecież starter ma być zarejestrowany a nie jest powiedziane na kogo.

  29. Mam przypadek, że firma od której kupiłem mieszkanie umieściła w wiadomości email adresy innych klientów (większość w formie imie.nazwisko@domain.com). Czy jest to już wyciek danych osobowych? Co można z tym zrobić, żeby zajął się tym odpowiedni urząd?

  30. Zapominanie o BCC? Idiotyzmem jest zatrudnianie osób “nietechnicznych” i wymaganie,
    żeby znały się na specyfice protokołu SMTP.

    Od takiego spamowania są listy mailingowe a nie BCC, np Mailman, do tego w Postfixie filtr do wyczyszczenia nagłówków listy mailingowej.
    To jedno z darmowych rozwiązań, są jeszcze inne zarówno darmowe (serialmail) jak i komercyjne programy do spamowania.

    Tylko świadomość społeczna tego faktu nie jest powszechna, ale jak PUODO będzie musiało grzywnami na sfinansowanie 500+ zarobić, to szybko wzrośnie. xD

    Pozdro

  31. Witam, moze ktos sie orientuje kto ponosi odpowiedzlanosc za wyciek w przypadku pracowania jako programista na B2B ? Poniewaz moja firma chce aby kazdy programista podpisal kwit z kara pieniezna za wyciek z jego winy, a czy za to nie odpowiada przypadkiem dzial security, cto etc?

    • Firma może wymagać NDA i chętnie zresztą wymagają, ale w razie wycieku nie z winy osoby (np. w sytuacji gdy ktoś trzeci wykradnie wszystkie elementy bezpieczeństwa konta danego programisty) programista siłą rzeczy za to nie odpowiada, o ile dochowa staranności i zgłosi fakt takiego incydentu gdzie trzeba.

  32. Czy we w związku z “prawem do zapomnienia” i możliwością wyrażenia takiej chęci mogę sie zwrócić z takową prośba do firmy windykacyjnej??

  33. Piszesz o Moico i o tym jak zmienili politykę. Ich konkurent – bestgo, nie dość, że podaje hasło na umowie, nie pozwala go zmienić, to jeszcze loginem jest PESEL. Double facepalm.

  34. spalić wszystkie dane, urzędników, pieniądze, papiery wartościowe, tak jak śmieci będą płonąć

  35. co w przypadku straży miejskiej, wysyłam im swoje dane, pełne osobowe plus auta, otrzymuję po 2 miesiącach informację że sprawę kierują do sadu bo danych w ich systemie brak. potwierdzenie odbioru u mnie, sprawdzone na poczcie.
    czy jest to wystarczające by wytoczyć im proces?

  36. W panelu klienta Moico – pojawiła się opcja zmiany hasła.

  37. Hej, jak wyglądają te sprawy w świetle nowych przepisów (sRODO):
    a) usunąłem konto, a w dalszym ciągu dostaję o tej firmy marketing na e-mail
    b) napisałem im maila, a oni w zamian włączyli mnie na listę mailingową (sic!)

  38. “Zabawna” historia sprzed kilku dni: na firmową skrzynkę pocztową otrzymałam e-mail dot. ochrony danych osobowych przed dział IT DPD. Wiadomość nadana przez “ekspertów” od IT (sic!) zapewniająca o bezpieczeństwie moich danych w obliczu RODO (podwójne sic!). Fajnie, że zapomnieli o BCC i mogłam sprawdzić 86 adresatów, a oni mnie… w większości firmowe domeny z nazwiskiem. Sama nie wiedziałam czy się śmiać czy płakać.

    • Wewnątrz firmy nie jest wymagane używanie BCC w “zbiorowych emailach”. Przecież każdy ma prawo wiedzieć, z kim pracuje, czy też mieć kontakt do danej osoby (np. by wiedzieć, kto z danego działu zajmuje się czym) – nie jesteś anonimowa w firmie wobec swoich współpracowników i to jest sprecyzowane w umowie/regulaminie pracy. Co innego jeśli chodzi o Twoje zarobki, stan zdrowia, fakt dlaczego Cię nie ma w pracy (czy zwolnienie, czy urlop) – to jest wtedy informacją poufną i jest to wbrew RODO.

  39. […] Systemy Komputerowe Doznające Awarii, z których informacje o przesyłkach mogą wyciekać (por. wpadka DHL albo wyciek z serwisu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: